公式ページ等 
参考になるページ等
- OpenSSL Command-Line HOWTO
- 68user's page / UNIX の部屋 / openssl 暗号化・復号化・公開鍵などを扱うツール
- Ni.Na. / サーバの実験室 Slackware / opensslコマンド
- moCA - members oriented CA / PKI Information
- まにっき / 2012-09-11: ssh の RSA 鍵を openssl コマンドで扱ってみる
- hnwの日記 / 2014-05-17: RSA公開鍵から素数の積を取り出す方法
- してみむとて / 2012-09-10: 私が愛した openssl (SSL/TLS 編)
SSL 証明書の検証
以下のようにすると検証できる。
その際、issuer の証明書は issuer_hash に .0 を加えたファイル名で探索される。これは以下のようにすれば得られる。
openssl verify hoge.crt検証の際、必要となるルート証明書や中間証明書のチェインは -CApath で指定した場所(デフォルトは /etc/ssl/certs)から探す。
その際、issuer の証明書は issuer_hash に .0 を加えたファイル名で探索される。これは以下のようにすれば得られる。
echo `openssl x509 -noout -issuer_hash -in hoge.crt`.0インストールしてない証明書で検証したい場合は、必要な証明書を1つのファイルにまとめたうえで以下のようにすれば良い。
openssl verify -CAfile ca.crt hoge.crt個々の証明書をどこかのディレクトリにまとめてあるなら、その場所を -CApath で以下のように指定しても良い。
openssl verify -CApath cafilesdir hoge.crtこの場合、各証明書は subject_hash に .0 を加えたファイル名でアクセス出来る必要がある。これは以下のようにすれば得られるので適当にシンボリックリンク等を作っておくと良い。
echo `openssl x509 -noout -subject_hash -in hoge.crt`.0
パスフレーズの設定/解除
パスフレーズの設定された秘密鍵 cipher.key のパスフレーズを解除してパスフレーズなしの秘密鍵 plain.key を得るには以下のようにすれば良い。
openssl rsa -in cipher.key -out plain.key逆にパスフレーズなしの秘密鍵 plain.key にパスフレーズを設定して cipher.key を得たい場合は以下のようにすれば良い。
openssl rsa -in plain.key -out cipher.key -aes256ここではオプションとして -aes256 を与えているのでパスフレーズを共通鍵とした AES256 で暗号化される。AES256 以外にも DES3 他いくつかの暗号化方式が利用可能。詳しくは以下のようにしてヘルプを参照。
oopenssl rsa --helpパスフレーズを解除した秘密鍵は扱いに注意。削除する場合は、ファイルの痕跡まで削除した方が良いので shred(1) コマンドを用い、以下のようにして削除すると良い。
shred -zu plain.txtただし CoW 等を用いた最近のファイルシステムの場合 shred でも安全に削除出来ないので、可能な限り暗号化ファイルシステム上で作業するのが良いだろう。
以下のようにすればよい。
openssl req -in FILE.csr -noout -text
タグ
コメントをかく